Progress Software - CVE-2026-8037
Date de publication :
Il s'agit d'une vulnérabilité d'injection de commandes OS dans l'API de Progress Kemp LoadMaster.
Progress Kemp LoadMaster est un contrôleur de livraison d'applications (ADC) et un équilibreur de charge, intégrant notamment un pare-feu applicatif web (WAF).
Les entrées transmises à plusieurs endpoints de commande de l'API ne font pas l'objet d'une neutralisation ou d'un échappement suffisant avant leur traitement par le système. Un attaquant non authentifié peut soumettre des données spécialement forgées à ces endpoints pour injecter et exécuter des commandes arbitraires sur l'appliance LoadMaster.
Elle permet à un attaquant distant non authentifié d'exécuter des commandes arbitraires sur l'appliance LoadMaster.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-77 : Improper Neutralization of Special Elements used in a Command ('Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Progress Kemp LoadMaster GA versions 7.2.63.1 et antérieures
• Progress Kemp LoadMaster LTSF versions 7.2.54.17 et antérieures
• Progress ECS Connection Manager versions 7.2.63.1 et antérieures
• Progress Connection Manager for ObjectScale versions 7.2.63.1 et antérieures
Solutions ou recommandations
• Progress Kemp LoadMaster LTSF version 7.2.54.18 et supérieures
• Progress ECS Connection Manager version 7.2.63.2 et supérieures
• Progress Connection Manager for ObjectScale version 7.2.63.2 et supérieures